漏洞详情
在Apache Shiro1.1.0以前的版本中,shiro进行权限验证前未对url做标准化处理,攻击者可以构造/,//,/./ ,/../等绕过权限验证
漏洞复现
这里用的是vulhub靶场环境,确保shiro正常运行
这里直接请求访问管理页面,会重定向页面
构造恶意请求/./admin,即可绕过权限校验,访问到管理页面
Apache Shiro 认证绕过漏洞(CVE-2010-3863)
原创
©著作权归作者所有:来自51CTO博客作者invisible6210的原创作品,请联系作者获取转载授权,否则将追究法律责任
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
【漏洞修复通知】修复Apache Shiro认证绕过漏洞
Apache Shiro认证绕过漏洞修复方案
apache 服务器 java 身份认证 正则表达式 -
Apache Superset 身份认证绕过漏洞(CVE-2023-27524)
Apache Superset是一个
漏洞挖掘 认证绕过 Apache Superset docker 数据库 -
Apache iotdb-web-workbench 认证绕过漏洞 CVE-2023-24829
发现在 Releases 中已经删除到只...
apache iotdb 前端 数据库 java -
java cursor的方法
1. java 数据存储 1、 指针( cursor ) java 无指针 ·java只是将指针隐藏,指针依旧以存储地址的形式埋藏在程序深处。甚至可以说java中所有的东西都是指针 2、
java cursor的方法 java 数据结构与算法 数据库 数据结构
